扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作为安全工具,思科PIX防火墙已经到了退出市场的时间了。你是否已经作好升级到ASA的准备了?在本文中,戴维·戴维斯将介绍一个工具,让你可以方便地将PIX防火墙升级到ASA。
--------------------------------------------------------------------------------------------
我在2008年初就写过一篇文章《PIX防火墙的退市令人悲伤》,在文章中,我回顾了多年来使用PIX防火墙的美好回忆,并对思科宣布将于2008年1月28日“停止出售”PIX防火墙感到万分失望。在思科PIX安全设备销售最终停止时间的通知中,他们详细地列出了各种PIX设备“停止”提供服务的时间,具体安排如下所示:
· 2008年1月28日停止硬件设备的销售
· 2009年7月28日停止软件的维护
· 2012年10月23日停止延续的服务合同
· 2013年7月27日停止技术支持
尽管到思科对你的PIX设备停止支持还有一段时间(2013年),但你也应该注意到从今年7月起,将不会再提供软件方面的维护服务了。这也就意味着,即使再出现漏洞的话,思科也不会发布补丁修复它;他们会建议你升级到自适应安全设备(ASA)。此外,也不会有功能上的更新了,也就是说你拥有的PIX设备将不会发生变化了。
凭心而论,PIX是一个非常优秀的防火墙,工作起来也非常稳定,几乎可以提供需要的一切,让我们绝大多数人都感到满意。不过,在已经拥有一个PIX防火墙的情况下,还是有些情况应该引起关注的。此外,对于拥有数以百计PIX防火墙的大型企业来说,这方面的问题也是应该予以重点关注的。在这些日子里,对于企业来说更大的问题可能应该是“怎样才能获得将PIX防火墙升级到ASA防火墙首期需要投入的数百万美元?”我不能帮你解决这个问题。但我可以假设你已经可以将PIX防火墙升级到ASA,在这种情况下,你应该做些什么呢?
PIX防火墙和ASA在配置上的差别
PIX防火墙和ASA相对比,最关键的问题是:在配置方面它们是完全不同的。换句话说,实现同样的目的,在PIX防火墙和ASA里用到的命令是不一样的。ASA采用的是类“网际操作系统”的配置界面,而PIX防火墙采用的是由自身的“PIX操作系统”提供的配置界面。它们之间的区别主要有下面几个方面:
· ASA属于不同的硬件设备拥有不同的接口名称。
· ASA采用了类似思科网际操作系统的分界面命令模式。
· PIX防火墙使用FIXUP命令对应用的情况进行监测,而ASA使用的是策略图。
· PIX防火墙中outbound和conduit命令的作用在ASA中被访问控制列表代替了。
完成整个升级转换过程有两种办法可以选择,手动模式或者采用自动迁移工具。如果你想对每一步进行精确控制的话,可能就需要选择手动模式了。不过思科公司提供了可以帮助PIX防火墙升级到ASA的软件工具,实现整个迁移过程的自动化。下面就让我们来看看它是怎么样进行工作的。
需要注意的是,如果要使用该工具,必须保证你的PIX防火墙上运行的PIX操作系统属于六点三或者更高的版本。
怎样使用思科提供的将PIX防火墙升级到ASA的自动迁移工具
我从官方网站上下载了思科PIX防火墙升级到ASA的自动迁移工具(需要注册并提供PIX防火墙的服务协议)。它包含了三个不同的版本,可以支持包括Windows XP操作系统、苹果OSX操作系统和红帽Linux操作系统第九版在内的运行环境。我下载并进行了安装的是支持是Windows XP操作系统的版本。在我的笔记本计算机运行的是Vista操作系统,不过安装过程中并没有出现问题。安装完成后,我发现整个工具包由用户指南、迁移脚本和实际工具等部分组成。
PIX防火墙升级到ASA的迁移工具使用起来真的非常简单。当开始运行的时间,它需要你提供源位置和一个目标位置。源位置可以是一个“活动”的设备(已经打开电源并正在运行中),还可以将配置文件保存在你的硬盘驱动器上。如果你需要退出活动设备的话,就需要输入类似“https://IP地址/配置的网络地址将配置信息保存到空白的配置文件上。而目标位置就是保存迁移中配置文件的地方。
配置完目标文件和源文件所在的位置,就可以利用该工具对配置进行扫描。接下来要做的就是确定设备的具体类型,因为,只有这样才能继续运行整个工具。它属于ASA 5505?5510?5520?5550?5580?采用了什么样的许可证?
在这里,我选择的是采用了增强版授权协议的ASA 5505。并将PIX默认的以太网接口转换为ASA的虚拟局域网接口。
下面就是操作完成后的结果:
图A
现在,所有我要做的就是为ASA建立目标配置。只要几秒钟的时间就可以建立这个配置,得到了如下图所示的输出结果:
图B
下一步,就可以点击查看目标配置,浏览新生成的ASA配置文件。你可以发现它的内容如图C所示。这就是转换后的新ASA配置文件。不仅如此,你甚至可以发现它采用了策略图来代替fixup命令。
图C
结 论
这么多年来,尽管我非常喜欢使用思科PIX设备,但迁移到思科ASA这样一个更强大有效的安全工具上也是一件令人兴奋的事情。对于思科提供的迁移工具,我非常满意,它的转换效果很好,使用起来也很方便。
希望了解和思科PIX防火墙升级到ASA的自动迁移工具相关更多信息的话,可以访问官方网站上的相关页面。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者